Защита корпоративного мессенджера
Доберштейн А. С., Оразгелдиев Я. О., Барабанова К. А.
Российский университет дружбы народов, Москва, Россия
Основной целью работы является получение навыков обнаружения и устранение уязвимостей WordPress-wpDiscuz, Proxylogon, Rocket.Chat и их последствий.
Для начала изучили вектор атаки, адреса злоумышленника и атакуемых серверов.
Залогинились в ViPNet для обнаружения уязвимости в журнале событий.
В “Событиях” обнаружили событие AM Exploit Wordpress с программным кодом, предназначенным для эксплуатации уязвимости
Изучили информацию по CVE-коду об обнаруженной уязвимости, изучили рекомендации по нейтрализации.
Для устранения уязвимости подключились к удаленному рабочему столу по адресу 10.140.2.180
Вошли под указанной учетной записью.
В соответствии с вектором атаки в KeePass нашли CMS WordPress.
Просмотрели сайт WordPress по указанному адресу. Здесь обнаружили последствие - Deface - изменение внешнего вида интерфейса.
В панели администрирования перешли во вкладку с плагинами и деактивировали плагин wpDiscuz
Для того, чтобы устранить последствие Deface, необходимо откатить сайт до предыдущей резервной копии. Для этого перешли в панель администрирования и во вкладке с плагинами нашли плагин UpdraftPlus - Backup/Restore, перешли в “Settings”.
Выбрали последнюю резервную копию и нажали “Restore”.
Поставили флажки у компонентов “Themes” и “Uploads”.
Во всплывшем окне с ошибкой нажали “Удалить старые директории”
Когда директории удалились, нажали “Return to UpdraftPlus configuration”
Обновили страницу сайта. Убедились, что последствие Deface успешно устранено.
Перешли в Putty web-portal, чтобы проверить сокеты на наличие подозрительных процессов с помощью утилиты ss.
Уничтожили вредоносные соединения с помощью команды kill {pid}. Убедились в их отсутствии.
Первая уязвимость с ее последствием успешно устранены
Вернулись в ViPNet для обнаружения подозрительной активности в журнале событий.
Изучили информацию об обнаруженной уязвимости.
В соответствии с вектором атаки в KeePass нашли MS Exchange.
Подключились к удаленному рабочему столу по адресу в соответствии с вектором атаки. Открыли Internet Information Services Manager.
Перешли в /MAIL/Sites/Default Web Site/ecp
Перешли в IP Address and Domain Restrictions, в “Actions” выбрали “Edit Feature Settings”, в открывшемся окне в параметре “Access for unspecified clients” выбрали “Deny”.
Далее открыли терминал, чтобы обнаружить вредоносные процессы с помощью утилиты netstat.
Остановили эти процессы и проверили их отсутствие.
Далее в директории /C:/Program Files/Microsoft/Exchange Server/V15/FrontEnd/HttpProxy/owa/auth удалили файл AM_Backdoor.aspx
Уязвимость Proxylogon и ее последствие China Chopper успешно устранены.
Вернулись в ViPNet для обнаружения подозрительной активности в журнале событий.
Изучили информацию об обнаруженной уязвимости.
В соответствии с вектором атаки в KeePass нашли RocketChat.
Открыли веб-версию Rocket.Chat и нажали на сброс пароля для указанной учетной записи.
На почту администратора Rocket.Chat было направлено email-письмо с инструкциями по сбросу пароля.
В консоли от администратор просмотрели это письмо. Скопировали ссылку со сгенерированным токеном для сброса пароля.
Перешли по скопированному адресу в браузере
Задали новый пароль для пользователя
Просмотрели /home/user/backup_codes для прохождения двухфакторной аутентификации при сбросе пароля.
Ввели один из них в соответствующее поле ввода.
Залогинились с измененным паролем.
В панели администриования перешли в “Права доступа”, и для роли “User” поставили флажок “User must use Two factor Authentication”.
Перешли во вкладку “Учетные записи” и настроили подтверждение адреса электронной почты при регистрации для роли “User” и автоматическую настройку двухфакторной аутентификации по электронной почте для новых пользователей.
В терминале администратора Rocket.Chat-server отредактировали файл mongod.conf, расскомментировав параметр “security:” и прописав отключение выполнения JavaScript на стороне сервера базы данных “javascriptEnabled: False”.
Перезапустили службу mongod.service
С помощью утилиты ss обнаружили и остановили вредоносные процессы.
Уязвимость RocketChat RCE и ее последствие meterpreter успешно устранены.
Заполнили карточки инцидентов для уязвимостей и их последствий.
В результате выполнения лабораторной работы мы получили навыки обнаружения и устранение уязвимостей WordPress-wpDiscuz, Proxylogon, Rocket.Chat и их последствий.